Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Краткий дайджест новинок в области безопасной разработки

Денис Якимов, 25/01/21

Мир программной разработки стремительно развивается, и его сегмент, представляющий инструменты для контроля и повышения безопасности выпускаемого программного обеспечения, старается не отставать от насущных потребностей рынка. Представляю вашему вниманию дайджест наиболее интересных, с моей точки зрения, событий за последние недели.

Автор: Денис Якимов, ведущий телеграм-канала @sec_devops

Сборник практик по безопасности Cloud Native-приложений

Фонд CNCF выпустил сборник лучших практик по части безопасности Cloud Native-приложений1, рассчитанный на CTO и CISO. Если посмотреть на оглавление документа, можно заметить, что затронуто много вопросов:

  • SSDL вместе с разными способами тестирования;
  • защита артефактов;
  • Run-Time-безопасность;
  • контроль доступа;
  • моделирование угроз.

И хотя конкретики представлено не очень много, документ определенно может стать хорошей отправной точкой для быстрого погружения в тему Cloud Native-приложений.

Спрос на специалистов в области AppSec растет, а следом растет и спрос на тех, кто понимает и умеет применять DevSecOps.

Инструменты для оценки надежности проектов Open Source

Open Source Security Foundation выпустила набор инструментов под названием Security Scorecard2 для автоматизации анализа и принятия решений об использовании Open Source-проектов на платформе GitHub. Security Scorecard выполняет набор проверок, отвечая, в частности, на вопросы:

  • присутствует ли в проекте политика безопасности;
  • использует ли проект статические анализаторы кода (например, CodeQL);
  • использует ли проект OSS-Fuzz от Google;
  • выпускался ли новый релиз и коммит за последние 90 дней;
  • подписываются ли релизы;
  • являются ли контрибьюторы членами разных организаций.

Результат каждой проверки оценивается по десятибалльной шкале, где 0 означает "невозможно получить ответ", а 10 – "инструмент уверен в результате".

CVE Benchmark для сравнения SAST-инструментов

OpenSSF также выпустила проект OpenSSF CVE Benchmark3. Основная цель проекта – сравнение инструментов класса SAST при сканировании на реальных кодовых базах, в которых была найдена CVE, до и после патча. CVE Benchmark запускает поддерживаемые SAST-анализаторы – ESLint, NodeJSScan и CodeQL для различных Оpen Source-проектов, расположенных на GitHub и использующих JavaScript или TypeScript. После сканирования автоматически генерируется сравнительная таблица с указанием на выявленные ложные срабатывания. В планах – добавление новых инструментов и поддержка большего количества уязвимостей.

Кстати, похожий проект четыре года назад делала команда OWASP. Они написали более 2 тыс. тестовых кейсов на Java и запустили для них различные SASTи DAST-инструменты, включая коммерческие инструменты. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репозиторий.

Kubernetes Threat Modeling Simulator

Kubernetes Threat Modeling Simulator4 – тестовый стенд, на котором можно попрактиковаться в реализации различных сценариев атаки и защиты в Kubernetes. Сюда входят атаки на секреты, RBAC (Role-Based Access Control), Etcd и многое другое. В случае, если что-то не получается, можно воспользоваться подсказками сервиса.

Для получения теоретической базы можно ознакомиться с K8s Attack Tree5 – это набор сценариев различных атак в виде деревьев на базе методологии моделирования угроз STRIDE, а также с известным проектом ATT&CK Matrix Kubernetes6.

CloudSecDocs

Один из замечательных инженеров, Марко Ланчини, за активностью которого слежу, открыл проект cloudsecdocs.com – это большая Интернет-энциклопедия по безопасности облаков.

Вот что уже можно в ней прочитать:

  • Secure SDLC: сканеры, работа с секретами, Compliance as Code, лабы, моделирование угроз, метрики, логирование.
  • Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим.
  • Моделирование угроз для Docker и Kubernetes.
  • Опиcание RBAC.
  • Описание важных компонентов с точки зрения безопасности Kubernetes.
  • Атаки на контейнеры и пентест.
  • Компоненты AWS и Azure, а также их защита.
  • Угрозы и методология тестирования облаков.

  1. https://github.com/cncf/sig-security/blob/master/securitywhitepaper/CNCF_cloud-native-security-whitepaper-Nov2020.pdf 
  2. https://github.com/ossf/scorecard 
  3. https://openssf.org/blog/2020/12/09/introducing-the-openssfcve-benchmark/ 
  4. https://github.com/kubernetes-simulator/simulator 
  5. https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model 
  6. https://www.microsoft.com/security/blog/2020/04/02/attackmatrix-kubernetes/ 
Темы:Безопасная разработкаDevSecOpsAppSec

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...